請問大家的對外server EX web or mail server都是怎麼防護
我目前的架構是
web server 上 有二張網卡
一張是Internet對外IP
一張是公司內部IP
在server上安裝防火牆軟體,只開放會使用到的port
請問在安全性上 會不會稍嫌不足
最近想要調整架構
前端先放一台軟體FW
然後用mapping的方式
把外部對應的ip指到web 內部IP
請問這樣的架構有比上一個好嗎
或是有更好更方便的架構 (like 用個IP分享器之類的)
謝謝
pat6626 wrote:
我目前的架構是
web server 上 有二張網卡
一張是Internet對外IP
一張是公司內部IP
在server上安裝防火牆軟體,只開放會使用到的port
請問在安全性上 會不會稍嫌不足...(恕刪)
嗯~ 的確有所不足~
pat6626 wrote:
最近想要調整架構
前端先放一台軟體FW
然後用mapping的方式
把外部對應的ip指到web 內部IP
請問這樣的架構有比上一個好嗎
或是有更好更方便的架構 (like 用個IP分享器之類的)...(恕刪)
這才是真正的DMZ架構~~~
圖片來源與詳細說明
要看你要使用怎麼樣的架構來給予建置~~
若真的要建置Server的方式來給使用~~~ 就建議不要採用家用型的IP Sharing的設備~ 要不然到時候造成該設備的loading過重~ 導致整個服務中斷或者效能降低等等的問題產生~
若真的有錢就考慮買高檔的網通設備~~~
沒有錢~~~ 那建議多K點書~~~ 學習使用Linux吧~~~
至少 Linux 的 iptables 套件還算蠻強大的 Firewall 的套件~~~
搞台中階(不要拿太糟糕的機器~至少要穩定~) 再搭配大品牌的網路卡 (以 Intel 、 3Com 、 Broadcom等為主)... 看是要買一張網路卡有四個Interface... 或者加三張網路卡都可以~~~ 這就要看你自己的決定了~~~
有人會問?! 什麼是一張網路卡上有四個interface(介面)
目前我手邊的網路卡~~~ 這張就是有四個介面在一張網路卡上面~~~
那 Linux 的 iptables 要怎麼學習起呢???
我會建議先把vbird (鳥哥)的書本都K好~~~ 因為那是Linux的基礎~~~
等你K好之後~~~ 個人到是覺得有一本書寫的真的挺不賴的~~~
至少簡單易懂~ 但是最基本的網路知識與邏輯概念都要搞清楚~ 要不然看不懂~
那就白搞了~~~ 說白一點就是... 最基本的除了網路知識之外... 還要會用vi來做編輯~
畢竟Linux屬於 CLI 的介面~~~ 至於CLI介面優缺點就不用多說了~~~
最基本的都要學會~ 這樣才有辦法發揮功效~
至於 iptables 的書籍~ 個人到是覺得 閱知文化-陳永勳先生寫的 Linux 網路安全技術與實現 這本說寫的還蠻淺顯易懂的~~ 相信在你讀過之後~ 能夠更加的得心應手~~
若要更加深入研究 iptables 的話... 那就可以買本 上奇出版的 實戰 Linux 防火牆 iptables 應用全蒐錄 這本書寫的還算蠻詳盡的~~~
至少使用Linux+iptables的話~~~ 這樣就可以建立還算蠻強大的 firewall ...
再搭配~ Server Patch 的 upgrate ... 這樣至少漏洞會減少許多~~~
當然也要檢視自己所撰寫的網頁程式碼... 看看會不會遭受人來入侵使用~~
換句話說就是你的服務相關的組態與相關的檔案權限是否有設定好~~~
當然若你的網頁有連結到資料庫的話...
看看會不會遭受資料庫的隱碼攻擊或者資料庫當中的架構與資料庫套件是否有漏洞產生
還有... 要常常去檢視系統的log看看有無異常的狀況~~~
這些等等都要詳加去觀察的~~~
雖然防火牆能夠有效的阻隔大多數的攻擊~ 但是一旦服務發生漏洞或者問題~~~
這部份是防火牆沒有辦法主動處理的~~~ 這點要注意一下~~~
由於您所提供資訊~~~ 過於簡略~~ 所以我也只能概述目前的狀況~~~
有機會大家就把問題互相教學相長... 互相學習~~~
阿胖技研,專研資訊相關技術!
內文搜尋
從 APP 打開
X